29、华为 华三中小型企业网络架构搭建 【分支篇之VPN部署(包括对接、双链路冗余、优化与分析、策略路由与NAT的影响)】 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

29、华为 华三中小型企业网络架构搭建 【分支篇之VPN部署(包括对接、双链路冗余、优化与分析、策略路由与NAT的影响)】

实战系列说明

实战

实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

拓扑

实战

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

路由器配置VPN,实现财务部门互访,并且AP能够正常关联到总部AC。

3.1、创建环回口
[GW]interface lo0
[GW-LoopBack0]ip address 2.2.2.2 32
说明:该地址是与总部建立Tunnel用的

3.2 定义IKE peer
[GW]ike peer to-center1
[GW-ike-peer-to-center]pre-shared-key simple ccieh3c.taobao.com
[GW-ike-peer-to-center1]remote-address 202.100.1.2
说明:定义了一个策略去往总部,Proposal使用默认的。

3.3 定义IPSEC Proposal
[GW]ipsec proposal to-center
说明:使用默认策略即可

3.4 定义感兴趣流量
[GW]acl number 3000
[GW-acl-adv-3000]rule permit gre source 2.2.2.2 0 destination 1.1.1.1 0
说明:定义GRE的流量为感兴趣流量

3.5定义ipsec policy

[GW]ipsec policy to_center 1 isakmp
[GW-ipsec-policy-isakmp-to_center-1]ike-peer to-center1
[GW-ipsec-policy-isakmp-to_center-1]security acl 3000
[GW-ipsec-policy-isakmp-to_center-1]proposal to-center
说明:用Ipsec Policy模板关联策略。

3.6 定义Tunnel接口
[GW]interface Tunnel 0
[GW-Tunnel0]source lo0
[GW-Tunnel0]destination 1.1.1.1
[GW-Tunnel0]ip address 10.1.1.2 30
说明:定义Tunnel接口,源为自己环回口,目的为总部的环回口

3.7 定义OSPF
[GW]ospf 1 router-id 2.2.2.2
[GW-ospf-1]area 0
[GW-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0
说明:开启OSPF功能

3.8 定义路由过滤
[GW]ip ip-prefix import_static permit 172.16.4.0 24
[GW]ip ip-prefix import_static permit 172.16.1.0 24

[GW]route-policy import-staic-filter permit node 10
[GW-route-policy]if-match ip-prefix import_static

[GW]route-policy import-conn-filter permit node 10
[GW-route-policy]if-match ip-prefix import_static
说明:路由过滤调用,只允许172.16.4.0与1.0通过

[GW]ospf 1
[GW-ospf-1]import-route static route-policy import-static-filter
[GW-ospf-1]import-route direct route-policy import-conn-filter
重分布进OSPF

3.9 调用VPN在Dialer接口
[GW]interface Dialer 1
[GW-Dialer1]ipsec policy to_center
说明:这里在拨号接口调用VPN,而不是物理接口。

【总部IPSEC配置回顾】 IPSEC VPN部署

(1)为什么需要部署Gre Over ipsec
说明:VPN的需求其实非常简单,就是与分部进行安全的访问,当然只允许财务部之间的互访【这个根据需求决定】,这路需要注意,除了这个以外,还有无线AP需要注册到总部来,这个需要通过VPN进行加密连接,但是这里总部是固定IP,而分部则是PPPOE拨号,这个只能通过动态策略模板来进行部署。所以这里需要实施 Gre Over ISPEC。

(2)IKE 对等体配置
[USG-GW]ike peer to-branch
[USG-GW-ike-peer-to-branch]pre-shared-key ccieh3c.taobao.com
[USG-GW-ike-peer-to-branch]undo version 2

(3)IPSEC策略配置
[USG-GW]ipsec proposal to-branch

 image001.png

不需要配置策略 ,默认有md5、des、esp-tunne,当然可以根据自己需求定义。

(4)定义感兴趣流量
[USG-GW]acl number 3004
[USG-GW-acl-adv-3004]rule permit gre source 1.1.1.1 0 destination 2.2.2.2 0
说明:该ACL定义的是GRE的流量,但是匹配有些特殊,该说明在后续说明。

(5)动态policy VPN模板
[USG-GW]ipsec policy-template dyl2l 1000
[USG-GW-ipsec-policy-template-dyl2l-1000]security acl 3004
[USG-GW-ipsec-policy-template-dyl2l-1000]ike-peer to-branch
[USG-GW-ipsec-policy-template-dyl2l-1000]proposal to-branch

(6)静态Policy关联动态Policy vpn
[USG-GW]ipsec policy vpn 999 isakmp template dyl2l
说明:静态Policy关联动态 Policy的VPN,之前定义过L2TP OVER IPSEC,所以这里只需要关联即可

(7)接口调用
说明:接口已经调用之前的L2TP,所以不需要管理。

(8)Tunnel接口配置
[USG-GW]interface lo0
[USG-GW-LoopBack0]ip address 1.1.1.1 32

[USG-GW]interface Tunnel 0
[USG-GW-Tunnel0]tunnel-protocol gre
[USG-GW-Tunnel0]ip address 10.1.1.1 30
[USG-GW-Tunnel0]source lo0
[USG-GW-Tunnel0]destination 2.2.2.2
说明:Tunnel接口的定义与平时的配置不一样,平时都是通过公网地址进行配置,但是由于分支是PPPOE环境,所以这里并不能明确指定,所以这里利用一个特性,两边各自建立一个Loopback接口,然后通过GRE的流量来触发VPN的建立,这里形成一个 变相的 Gre over ipsec的现象,这个可以在后续看到现象的时候在分析。

(9)新建Zone,加入对应接口
[USG-GW]firewall zone name gre
[USG-GW-zone-gre]set priority 35
[USG-GW-zone-gre]add interface Tunnel 0

(10)放行VPN到内网的流量,双向
[USG-GW]firewall packet-filter default permit interzone trust gre

(11)VPN需要放行的流量
说明:之前已经放行了L2TP与IPSEC IKE的,所以这里还需要放行一个GRE,因为GRE的流量默认也是拒绝的。
[USG-GW]policy interzone local isp_dx inbound
[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0
[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set gre
[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 1.1.1.1 0

 image002.png

[USG-GW]policy interzone local isp_lt inbound
[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set gre
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.1 0

 image003.png

说明:该策略之前已经定义好了,只需要增加一个GRE协议进去,另外也是允许访问1.1.1.1,因为要协商GRE。

(12)运行OSPF
说明:在Tunnel中建议跑OSPF协议,当然静态路由也是可以的,但是不方便收敛,而且OSPF可以实现负载均衡效果,因为总部部署的是双ISP。
[USG-GW]ospf 1 router-id 1.1.1.1
[USG-GW-ospf-1]area 0
[USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
说明:允许OSPF,保证在Tunnel中双方建立OSPF邻居,在安全的隧道中传输数据。

(13)只允许分支看到指定的路由【也就是需要加密通信的】
说明:在该需求中,我们只需要财务部门之间进行互访,另外分支AP可以正常的注册到AC上面来,所以我们希望的是,双方只看到各自需要的路由,这样只对这些流量加密,其余的则不加密。

静态路由定义
[USG-GW]ip route-static 192.168.21.0 24 192.168.100.254
[USG-GW]ip route-static 192.168.1.251 32 192.168.100.254

[USG-GW]ip ip-prefix import_static permit 192.168.21.0 24
[USG-GW]ip ip-prefix import_static permit 192.168.1.251 32

[USG-GW]route-policy ospf-filter-routing permit node 10
[USG-GW-route-policy]if-match ip-prefix import_static

[USG-GW]ospf 1
[USG-GW-ospf-1]import-route static route-policy import_static
说明:这样的话,当OSPF建立邻居后,对方只会收到这2条静态路由,为了防止 以外的话,做个route-map,里面用ACL匹配只允许这2条进去,这样的好处就是防止以后如果添加了其他静态路由的话,对方也收不到

3.10 测试结果
3.10.1 :IKE协商sa查看

 image004.png
 image005.png

3.10.2 OSPF邻居查看

 image006.png
 image007.png

可以看到双方已经成功建立OSPF邻居。

3.10.3 OSPF路由查看

 image008.jpg

可以看到双方都学到了需要的流量,USG端只需要知道怎么去对方的财务部,并且与AP的管理流量。而分支这边学到了总部这边的财务与AC的地址。

财务部之间互访测试
 image009.png

为财务部的地址进行访问分部的

 image010.png

可以看到是可以相互访问的。

 image011.png

加解密的数据包

 image012.png

 image013.png

可以看到加密数据包一直在增加。

双链路VPN部署【高可用性,包含总部与分部】

说明:在该项目中,可以看到总部是有双线路出口的,也就是说,分支可以跟VPN建立两条链路的VPN,这样的话无论总部哪一条链路出现故障,还能保证VPN的继续使用,而之前的 部署中,只部署了与电信建立VPN,而联通的链路是空闲的,所以这里我们还需要部署与联通建立另外一条链路。

4.2 与主线链路建立VPN【已经建立成功】

4.3 与联通建立另外一条 VPN链路
说明:与总部联通链路建立VPN,必须跟电信的链路一样,在各自创建一个Tunnel接口,来保证双方可以正常建立VPN,与OSPF邻居建立。

4.3.1 总部VPN配置

(1)Loopback口建立
[USG-GW]int lo 1
[USG-GW-LoopBack1]ip address 1.1.1.2 32

(2)IKE策略与IPSEC Proposal
说明:可以直接引用之前的策略配置,因为这个是一样的,可以重复定义。

 image014.png

(3)感兴趣流量 ACL定义
[USG-GW]acl number 3005
[USG-GW-acl-adv-3006]rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0
说明:这里定义了感兴趣流量依然是另外一个环回接口到,分支的另外一个环回接口的流量,走VPN。

(4)动态ipsec policy部署
[USG-GW]ipsec policy-template lt 1000
[USG-GW-ipsec-policy-template-lt-1000]security acl 3005
[USG-GW-ipsec-policy-template-lt-1000]ike-peer to-branch
[USG-GW-ipsec-policy-template-lt-1000]proposal to-branch
说明:动态模板调用了之前的IKE策略与Proposal策略,还调用了感兴趣流量

(5)静态ipsec 关联 动态模板
[USG-GW]ipsec policy vpn_lt 1000 isakmp template lt

(6)调用在出接口
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

(7) 创建Tunnel接口
[USG-GW]interface Tunnel 1
[USG-GW-Tunnel1]tunnel-protocol gre
[USG-GW-Tunnel1]source LoopBack 1
[USG-GW-Tunnel1]destination 2.2.2.1
[USG-GW-Tunnel1]ip address 10.1.1.5 30

(8)把接口加入zone
[USG-GW]firewall zone gre
[USG-GW-zone-gre]add interface Tunnel 1

(9)策略放行
说明:之前已经把策略放行过了,所以这里不需要再次放行。

(10)VPN需要放行的流量
[USG-GW]policy interzone local isp_lt inbound
[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.2 0
说明:这里必须放行GRE建立的流量,否则GRE通信不了,导致OSPF邻居建立不了。

(11)OSPF运行与路由策略
[USG-GW]ospf 1
[USG-GW-ospf-1]area 0
[USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.5 0.0.0.0
说明:只需要直接宣告即可,路由策略之前已经调用过了

 image015.png

(12)调用在接口
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

4.3.2 分部VPN部署【连总部接联通链路】

(1)定义ike peer
[GW]ike peer to-center2
[GW-ike-peer-to-center2]remote-address 61.128.1.2
[GW-ike-peer-to-center2]pre-shared-key simple ccieh3c.taobao.com
说明:分部是需要定义另外一个策略的,去联通的地址

(2)ipsec Proposal
说明:这里引用之前定义的策略即可。

 image016.png

(3)创建环回口
[GW]interface lo1
[GW-LoopBack1]ip address 2.2.2.1 32

(4)创建Tunnel接口
[GW]interface Tunnel 1
[GW-Tunnel1]source lo1
[GW-Tunnel1]destination 1.1.1.2
[GW-Tunnel1]ip address 10.1.1.6 30

(5)感兴趣流量定义
[GW]acl number 3001
[GW-acl-adv-3001]rule permit gre source 2.2.2.1 0 destination 1.1.1.2 0

(6)定义ipsec policy
[GW]ipsec policy to_center 2 isakmp
[GW-ipsec-policy-isakmp-to_center-2]security acl 3001
[GW-ipsec-policy-isakmp-to_center-2]ike-peer to-center2
[GW-ipsec-policy-isakmp-to_center-2]proposal to-center

(7)调用在拨号接口

 image017.png

OSPF宣告以及路由策略
[GW]ospf 1
[GW-ospf-1]area 0
[GW-ospf-1-area-0.0.0.0]network 10.1.1.6 0.0.0.0

 image018.png

说明:加入宣告即可,路由策略在之前已经做过了。

4.3.3 测试VPN建立

 image019.png

说明:在USG上面可以看到有一个IPSEC VPN测试建立,而H3C这边的路由,则有2个。说明VPN是建立成功的。

 image020.png

可以看到,邻居只建立了一个,还是之前的邻居。在通常情况下可以有2个邻居的。

这里的原因是USG防火墙上面,把对于同一个源地址,建立的2条VPN链路看成一条,所以默认情况下,只能从最先建立的VPN使用,另外一条做备用状态。

主备切换测试

 image021.png

把USG的主接口shutdown掉后。

 image022.png

可以看到提示,之前的接口已经down了,而这个新的邻居已经建立

 image023.png
 image024.png

说明:可以看到该类型只能实现主备复用,而不能支持同时建立,负载均衡的情况,这是USG特性的限制,所以也没什么办法,如果是思科的话,是肯定支持的。

4.3.4 总部与分部VPN全部配置,以及建立VPN的过程思路总结

总部VPN配置部分【附带注释】
(1)ike peer配置部分

ike peer to-branch
pre-shared-key ccieh3c.taobao.com
undo version 2
说明:这里与分别的密钥同步即可,另外注意关闭ike的version 2

(2)ipsec Proposal部分
ipsec proposal to-branch
说明:有默认配置,可以不需要配置,根据自己需求来决定

(3)感兴趣流量部分
acl number 3004 【用于电信】
rule 5 permit gre source 1.1.1.1 0 destination 2.2.2.2 0
#
acl number 3005【用于网通】
rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0
说明:一个用于电信做Tunnel的,一个个联通做Tunnel的,要区分开来。

(4)动态ipsec 策略模板
ipsec policy-template dx 999
security acl 3004
ike-peer to-branch
proposal to-branch
#
ipsec policy-template lt 1000
security acl 3005
ike-peer to-branch
proposal to-branch
说明:由于分别是PPPOE这样的动态方式拨入的,所以IP地址并不明确,所以我们需要定义动态模板来实现接入。

(5)静态ipsec 策略

ipsec policy vpn_dx 1000 isakmp template dx
#
ipsec policy vpn_lt 1000 isakmp template lt
说明:由于动态的策略是不能定义在接口下的,所以必须用静态的关联,然后调用在接口下,然后一个静态模板只能关联一个动态模板,当然高版本的系统支持多个。

(6)接口调用
这里就不在给出了,电信的调用在电信的接口,联通的调用在联通的接口即可

(7)Tunnel接口配置
interface Tunnel0
tunnel-protocol gre
ip address 10.1.1.1 255.255.255.252
source 1.1.1.1
destination 2.2.2.2

interface Tunnel1
tunnel-protocol gre
ip address 10.1.1.5 255.255.255.252
source 1.1.1.2
destination 2.2.2.1
说明:该类型主要是与对方建立2个Tunnel,用来做OSPF建立等,因为默认情况下VPN是不支持组播与广播的。还需要注意的地方就是,默认情况下USG是没有封装的,所以注意封装为GRE

(8) Tunnel接口加入Zone,与策略放行
firewall zone name gre
set priority 35
add interface Tunnel0
add interface Tunnel1

firewall packet-filter default permit interzone trust gre
说明:这里必须加入Zone,接口才能正常运行,另外需要放行trust与gre的双向流量,这样的话VPN的流量就可以访问了,而且也不影响内部网络访问外网的策略。

(9)VPN需要放行的流量

policy interzone local isp_dx inbound 【用于电信的策略】
policy 0
action permit
policy service service-set udp
policy service service-set esp
policy service service-set l2tp
policy service service-set gre
policy destination 1.1.1.1 0
policy destination 202.100.1.2 0

policy interzone local isp_lt inbound 【用于联通的策略】
policy 0
action permit
policy service service-set udp
policy service service-set esp
policy service service-set l2tp
policy service service-set gre
policy destination 61.128.1.2 0
policy destination 1.1.1.2 0
说明:这里电信的策略里面,放行了UDP ESP L2TP与GRE,这些都是需要明确放行的,因为默认情况下USG是拒绝的,不处理这些数据包,不放行的话,导致VPN的建立与数据传输有问题,而目的地址指定是因为GRE的建立需要放行这个流量通过,否则GRE通信不了,导致OSPF建立不了。联通也是一样。

(10)OSPF的配置
ip route-static 192.168.1.251 255.255.255.255 192.168.100.254
ip route-static 192.168.21.0 255.255.255.0 192.168.100.254

ip ip-prefix import_static index 10 permit 192.168.21.0 24
ip ip-prefix import_static index 20 permit 192.168.1.251 32

route-policy ospf-filter-routing permit node 10
if-match ip-prefix import_static

ospf 1 router-id 1.1.1.1
import-route static route-policy import_static
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.1.5 0.0.0.0
说明:路由协议的运用使得双方建立了动态路由协议,当然我们并不希望所有的流量都可以访问,所以这里必须定义一个路由过滤来允许我们希望给对方的路由,其余的则不发送。

分部VPN配置部分【附带注释】
(1)ike peer配置部分
ike peer to-center1
pre-shared-key simple ccieh3c.taobao.com
remote-address 202.100.1.2
#
ike peer to-center2
pre-shared-key simple ccieh3c.taobao.com
remote-address 61.128.1.2
#
说明:一个用来与电信建立VPN,另外一个与联通的链路建立

(2)ipsec proposal 配置
ipsec proposal to-center
说明:这个可以通用的,而且有默认策略,所以不需要建立多个,安全策略可以根据自己需求定义。

(3)感兴趣流量配置
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 1.1.1.1 0
acl number 3001
rule 0 permit gre source 2.2.2.1 0 destination 1.1.1.2 0
说明:一个ACL用于电信用的VPN,另外一个用于联通的VPN

(4)ipsec 策略配置部分
ipsec policy to_center 1 isakmp
security acl 3000
ike-peer to-center1
proposal to-center
#
ipsec policy to_center 2 isakmp
security acl 3001
ike-peer to-center2
proposal to-center
说明:该策略绑定了之前定义的策略,一个用于电信VPN建立,另外用于联通VPN建立

(5)拨号接口调用

 image025.png

两边路由的说明
说明:在实际工作中,一般直接默认路由指向出口ISP即可,这样既可以包含VPN的流量,也包含访问Internet的流量。[/v_act]

4.3.5分析VPN建立过程,以及整个VPN实现的效果

说明:可以看到VPN的配置有几个特殊支持,1、Tunnel接口的配置,不是以公网接口作为源目,而是定义了两对环回口作为各自Tunnel的源与目,这主要是因为分支机构那边没有固定IP地址,所以根本不能明确指定对方的IP,所以这里用私网地址用来固定双方地址,如果建立GRE成功,那么就得依靠VPN了。 2、ACL的定义,正常情况下,gre over ipsec的建立,ACL定义则以双方公网地址的gre流量为感兴趣流量,但是这里定义的却为私网地址定义的,这是为了能够触发VPN流量的建立。

(1)这里VPN的建立,主要依靠OSPF周期性的发送数据包用来与地方建立邻居,由于是Tunnel接口,所以要封装GRE,源IP为:2.2.2.2,目的地址为:1.1.1.1 | GRE | 源IP:10.1.1.2 目的IP:10.1.1.1 :OSPF

 image026.png

(2)匹配默认路由出去,走的拨号接口,拨号接口有VPN的策略,并且之前的流量又匹配感兴趣流量。

 image027.png

(3)这时候的封装会以: | 公网地址: 源地址:【动态分配】 目的IP:202.100.1.2 | ESP | GRE头部 | 实际真实IP流量,然后发送给目的IP【也就是peer指定的202.100.1.2】

(4)总部收到以后,会以接口下的VPN调用,然后进行匹配对应的策略,如果一致则建立VPN的隧道,协商IKE sa与IPSEC SA。

(5)当VPN建立以后,那么感兴趣流量内的流量是可以互访了,也就是GRE是可以互通的。

 image028.png

(6)Tunnel接口可以互通了,那么自然OSPF就可以正常建立了。

 image029.png

(7)所以说整个过程都是通过OSPF来自动触发建立的,如果没有OSPF的触发建立,那么导致的情况就是,VPN根本建立不起来,所以这个特殊的地方必须使用动态路由协议来动态触发建立,因为没有动态触发建立的话,那么Tunnel永远起不来,因为没有流量触发,不能建立VPN。当然可以使用特殊的技术,比如NQA等来触发。

(8)当然这里只能建立一个Tunnel,另外一个Tunnel做备用,这是因为USG处理机制导致的,不能通过一个源地址建立2个VPN隧道,所以只能做主备,而不能实现A/A,负载均衡的方式。

(9)这里必须由分部的OSPF主动触发VPN建立,而不能是总部触发,因为总部根本就不知道分部在哪,不知道具体地址,根本就建立不起来VPN,所以只能通过分部OSPF流量触发VPN的建立,然后整个VPN建立后,保证OSPF建立。

4.3.6 策略路由的影响

说明:因为该项目中总部是部署了策略路由,策略路由的作用都知道,会优先于路由表进行转发处理,那么对于VPN来说,会有怎么样的影响呢。

情况问题分析:分支与总部的VPN是主备关系,而不是A/A的,那么之前策略路由部署的时候,是把财务部 192.168.21.0/24给直接转发电信,那么假设分部与总部VPN先建立的是联通链路,那么电信的VPN是作为备份的,不能转发数据包,而策略路由又把数据包转发给电信,那么导致的情况则是VPN不通。

问题存在演示

 image030.png

可以看到现在分支主要与联通建立的邻居,10.1.1.5是Tunnel 1 的接口,Tunnel 1为联通的接口。

 image031.png

可以看到现在Ping不同分支,这是因为在策略路由上面,192.168.21.0网段走的是电信,而现在电信是备用,所以就被丢弃了。

解决办法。

 image032.png

在该ACL中多加一个条目,当21网段访问分支的172.16.4.0的时候,不走策略路由,走路由转发。

 image033.png

这时候就可以了。

4.3.7 NAT对于VPN的影响

说明:如果在平时的VPN部署中,NAT与VPN是冲突的,通常情况下需要在ACL中把对应的流量deny掉,完成访问。

(1)总部的NAT与VPN影响
说明:总部USG的NAT策略是针对 trust到isp_dx或者isp_lt的,而并没有针对trust到gre的Zone,所以不会进行影响。

 image034.png

而Trust与GRE没任何配置,所以VPN流量不受到影响。

(2)分支的NAT与VPN影响
说明:如果分部部署了NAT的话,看是否有问题。
NAT在之前已经部署过,所以现在测试,

 image035.png

可以看到继续访问,没任何问题,也就是说,不会对Tunnel下的流量做NAT转换。

4.3.8 VPN优化

说明:为什么需要对VPN进行优化呢,我们都知道VPN的流量传输都是要经过加解密的,如果数据流量非常大的话,就会影响设备性能,而且VPN的传输速率也取决于VPN设备的性能与带宽。

(1)MTU与tcp mss优化
总部接口优化
[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]mtu 1476

[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]mtu 1476

[USG-GW]interface Tunnel 0
[USG-GW-Tunnel0]mtu 1450

[USG-GW]interface Tunnel 1
[USG-GW-Tunnel1]mtu 1450

[USG-GW]firewall tcp-mss 1400

说明:总部把接口修改了MTU值,这个主要为了防止分片,而TCP MSS也是为了防止分片,有时候会遇到打开网站图片什么的打不开的情况,这就是TCP MSS太大造成的。

分部接口优化

[GW]interface Dialer 1
[GW-Dialer1]mtu 1460
[GW-Dialer1]tcp mss 1400

[GW]interface Tunnel 0
[GW-Tunnel0]mtu 1450
[GW-Tunnel0]tcp mss 1300

[GW]interface Tunnel 1
[GW-Tunnel1]mtu 1450
[GW-Tunnel1]tcp mss 1300

说明:分支的修改主要是在拨号接口,由于是PPPOE环境,所以MTU值必须修改的低点,TCP MSS也低点,这样一切都是为了防止分片,造成一些应用访问失败或者是访问效率低效的情况。

(2)OSFP的优化功能
说明:OSPF默认情况下在点对点环境下是每10s发送一次Hello包的,而Hello包是通过VPN进行加解密的,这样的话会每10一次加解密出现,而VPN的环境对于路由收敛没必要这么快,所以我们可以改长点。

interface Tunnel 0
ospf timer hello 300
说明:每5分钟发送一次Hello包,作为探测存在即可。


学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~[/v_act]

(广告)博主自主原创最新实战课程

点击查看详情


(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (8)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(5)个小伙伴在吐槽
  1. 请问博主,我们公司有一台 华为SRG3200 系列路由器 VPN应该怎么配置呢?每次拨号都没用! 我学的是cisco 对于华为的还是束手无策,还请博主指导一下! 我们有公网地址!
    Jason L.2016-09-01 17:32 回复 Windows 7 | Chrome 45.0.2454.101
    • 公众号:网络之路博客(其他平台网络之路Blog)
      SRG跟USG的配置一样的
      网络之路2016-09-01 17:47 回复 Windows 7 | Chrome 47.0.2526.108
  2. 博主 我想问下总部的配置了两条默认的路由,当分部和总部vpn建立完成。分部和总部通信时分部的数据发给总部防火墙在给客户机。然而总部的客户机器回包到防火墙 防火墙查路由器表 是两条默认的路由(ip route-static 0.0.0.0 0 100.1.1.1| ip route-static 0.0.0.0 0 61.128.1.1)然而分部是动态ip 防火墙该怎么回包 该走哪条路由给分部呢(都是默认的,没有优先级)是不是总部的防火墙就丢包,不能通信。
    呵呵2016-11-09 16:21 回复 Windows 7 | Chrome 47.0.2526.108
    • 公众号:网络之路博客(其他平台网络之路Blog)
      不会的,VPN信息表里面包含了出接口
      网络之路2016-11-11 19:06 回复 Windows 7 | Chrome 47.0.2526.108
  3. 不错.看看吧.谢谢
    quick20172017-10-02 11:22 回复 Windows 7 | Internet Explorer 10.0